Los proveedores de software están siendo más rápidos a la hora de solucionar las vulnerabilidades de sus productos, publicando actualizaciones una media de 52 días después de que sean reveladas de forma responsable por el Project Zero de Google.

En una actualización de su programa de investigación de seguridad, el gigante tecnológico afirmó que la nueva cifra supone una “aceleración significativa” con respecto a la media de 80 días que tardaban los desarrolladores en corregir los fallos, hace tres años.

Según los términos del Proyecto Cero, un proveedor tiene 90 días para arreglar una vulnerabilidad reportada por los investigadores de Google y enviar un parche a los clientes. Sin embargo, es posible un período de gracia adicional de 14 días.

“Entre 2019 y 2021, Project Zero reportó 376 problemas a los proveedores bajo nuestro plazo estándar de 90 días. Unos 351 (93,4%) de estos errores han sido corregidos, mientras que 14 (3,7%) han sido marcados como WontFix por los proveedores”, explicó Google.

“Otros once (2,9%) fallos siguen sin arreglar, aunque en el momento de escribir este artículo ocho han superado su plazo para ser arreglados; los tres restantes aún están dentro de su plazo para ser arreglados. La mayoría de las vulnerabilidades se agrupan en torno a unos pocos proveedores, con 96 fallos (26%) reportados a Microsoft, 85 (23%) a Apple y 60 (16%) a Google.”

En 2021, un proveedor sólo superó el plazo de 90 días en una ocasión, lo que Google atribuye a la generalización de las mejores prácticas para las actualizaciones de seguridad en todo el sector. Sin embargo, también hay razones para creer que estas prácticas pueden no ser necesariamente las mismas para las vulnerabilidades reveladas por fuentes fuera del Proyecto Cero.

Info – Ciberseguridad Latam